Nur einer Lücke gab Microsoft in diesem Monat einen CVSS-Wert von über 9 von 10: CVE-2027-21536 (CVSS 9.8), eine RCE-Schwachstelle im Zusammenhang mit dem Microsoft Devices Pricing Program für Channel-Partner und Distributoren. Ben McCarthy, leitender Cybersecurity-Ingenieur bei Immersive, hob die Lücke als bemerkenswert hervor: Sie sei eine der ersten bekannten Schwachstellen, die ein KI-Agent identifiziert habe und für die ein offizieller CVE-Eintrag existiere. Microsoft habe die Lücke bereits behoben und abgesichert; der Fall verdeutliche dennoch einen Wandel hin zur KI-gestützten Entdeckung komplexer Schwachstellen in zunehmendem Tempo.

Acht der in dieser Woche offengelegten Lücken sind als kritisch eingestuft. Zwei weitere waren bereits vor dem Update öffentlich bekannt: CVE-2026-26127 (CVSS 7.5), eine Denial-of-Service-Schwachstelle in .NET, sowie CVE-2026-21262 (CVSS 8.8), eine Lücke zur Rechteausweitung im SQL Server. Beide gelten technisch als Zero-Days, stellen laut Satnam Narang, Senior Staff Research Engineer bei Tenable, jedoch kaum eine Bedrohung dar. Ihr einziges neues Merkmal sei die vorzeitige Veröffentlichung; sie “bellten lauter, als sie beißen”. Die DoS-Lücke gelte als unwahrscheinlich ausnutzbar und setze einen bereits autorisierten Angreifer voraus, die Rechteausweitung sei ebenfalls als weniger wahrscheinlich ausnutzbar eingestuft.

Nach Tenables Zählung dominierten Schwachstellen zur Rechteausweitung (EoP) das Update mit rund 55,4 Prozent der behobenen CVEs, RCE-Lücken kamen auf 20,5 Prozent. Unter den EoP-Lücken hoben Sicherheitsanbieter drei im Windows-Kernel hervor: CVE-2026-24289, CVE-2026-26132 und CVE-2026-24287 (jeweils CVSS 7.8). Bei den ersten beiden hält Microsoft eine Ausnutzung für wahrscheinlicher, da sie geringe Angriffskomplexität, keine besonderen Rechte und keine Nutzerinteraktion erfordern.

Amol Sarwate, Leiter der Sicherheitsforschung bei Cohesity, riet Administratoren, zudem zwei weitere EoP-Lücken zu beachten: CVE-2026-24294 (CVSS 7.8) im SMB Server und CVE-2026-23668 (CVSS 7.0) in der Microsoft Graphics Component. Die Rechteausweitung sei eine der wichtigsten Methoden von Angreifern, um Zugang zu Netzwerken zu erlangen und sich dort dauerhaft einzunisten.

Bei den RCE-Lücken nannten Experten zwei Schwachstellen in Microsoft Office als besonders relevant: CVE-2026-26113 und CVE-2026-26110 (jeweils CVSS 8.4). In beiden Fällen dient der Vorschaubereich als Angriffsweg, sodass ein Nutzer kompromittiert werden kann, ohne ein schädliches Dokument zu öffnen. Lasse sich das Update nicht sofort einspielen, sollten Organisationen laut Jack Bicer, Director of Vulnerability Research bei Action1, den Vorschaubereich im Datei-Explorer deaktivieren und das Öffnen von Office-Dateien aus nicht vertrauenswürdigen Quellen einschränken; E-Mail-Filter, Anhangsprüfung und Endpunktüberwachung senkten das Risiko zusätzlich.

Auf Microsofts Liste der als weniger wahrscheinlich ausnutzbar eingestuften Lücken stehen CVE-2026-25190 (CVSS 7.8), eine RCE-Schwachstelle in GDI, und CVE-2026-25181 (CVSS 7.5), eine Schwachstelle zur Informationsoffenlegung in GDI+. In Kombination ermöglichen beide jedoch einen zweistufigen Angriff, mit dem sich eine Windows-Sicherheitsfunktion umgehen und beliebiger Code ausführen lässt. Ein solcher Angriff sei aufwendig, so Ryan Braunstein, Security Manager bei Automox: Die nötige Präzision deute auf einen Aufwand auf Nationalstaaten-Niveau hin – der Lohn passe dazu: saubere, zuverlässige Remote-Code-Execution auf dem Zielsystem.